La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, également connue sous le nom de Loi 25, vise à renforcer la protection des données personnelles pour les organisations privées et publiques. Adoptée en 2021, cette loi impose de nouvelles obligations aux associations et organismes à but non lucratif (OBNL) à propos de la gestion des renseignements personnels.
1. Une responsabilité accrue pour la protection des données
Les organisations québécoises doivent désigner une personne responsable de la protection des renseignements personnels. Cette personne (généralement un membre de la direction) doit s’assurer de la conformité à la loi et peut être personnellement tenue responsable en cas de manquement. Il est important d’identifier cette personne sur le site Web de l’organisation où ses coordonnées doivent être accessibles. Il est aussi essentiel de mettre sur pied un registre des incidents de confidentialité et de réaliser une évaluation des facteurs relatifs à la vie privée (EFVP).
2. L’obligation d’avoir une politique de gestion des renseignements personnels
Les associations et les OBNL comme les centres d’action bénévole doivent développer et rendre publique une politique claire sur la gestion des données. Cette politique doit expliquer comment les renseignements personnels sont recueillis, utilisés, conservés et détruits. Bien qu’elles soient souvent cruciales pour le fonctionnement d’une organisation, la collecte et l’utilisation des données personnelles doivent être balisées afin de mieux protéger les informations qui circulent et réagir avec diligence en cas d’incident.
3. Un consentement explicite et informé
Pour collecter des renseignements personnels, les organisations québécoises doivent obtenir un consentement explicite et éclairé des individus comme les membres d’un conseil, d’un regroupement ou d’une fédération. Ce consentement doit être documenté et les personnes doivent être informées des finalités exactes pour lesquelles leurs données seront utilisées.
4. Plus de contrôle et de transparence pour les personnes concernées
Avec la Loi 25, les individus rattachés à une association ont désormais plus de contrôle sur leurs données. C’est-à-dire que les membres, les contacts et les bénévoles d’une organisation peuvent demander à consulter, corriger ou supprimer leurs informations personnelles. Ils ont aussi le droit à la portabilité des données, soit de recevoir leurs renseignements dans un format lisible afin de les transférer à une autre organisation.
5. Une notification obligatoire en cas de fuite de données
En cas de violation de sécurité en matière de renseignements personnels (par exemple, une fuite de données), les organisations doivent aviser rapidement la Commission d’accès à l’information (CAI) ainsi que les personnes concernées si le risque de préjudice est élevé.
6. Une évaluation des risques et une minimisation des données
Les associations et les OBNL doivent procéder à une évaluation des risques de confidentialité lors de la mise en œuvre de nouvelles technologies ou d’outils numériques. Elles doivent également limiter la collecte des données à ce qui est strictement nécessaire pour leurs opérations comme l’adhésion et le renouvellement des membres, la gestion des bénévoles et l’inscription aux différents événements de l’organisation.
7. Des sanctions plus sévères
Les sanctions en cas de non-respect de la Loi 25 peuvent être importantes, avec des amendes allant jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires d’une organisation. Ouch !
8. Un transfert de données à l’extérieur du Québec
Si une association québécoise transfère des données à l’extérieur du Québec, elle doit s’assurer que l’autorité réceptrice offre également une protection des renseignements personnels équivalente à celle prévue par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
9. Une entrée en vigueur graduelle
La mise en application de la Loi 25 se fait de façon progressive. Certaines obligations ont pris effet en septembre 2022 (comme la désignation d’une personne responsable de la protection des données), tandis que d’autres dispositions sont entrées en vigueur le 22 septembre 2024.
Tous les détails ici : https://www.cai.gouv.qc.ca/
En résumé :
Les organisations québécoises comme les associations et les centres d’action bénévole doivent mettre en place des politiques et mécanismes rigoureux de protection des données personnelles et être proactives pour assurer la conformité à la Loi 25. Elles doivent également être prêtes à gérer les demandes d’accès aux informations et à réagir rapidement en cas de violation de la sécurité des données.
En terminant, il est important de mentionner que la Loi 25 dépasse largement la seule question du site Internet d’une organisation, elle impose un changement de culture par rapport à la collecte et à l’utilisation de renseignements personnels par cette dernière. En ce sens, nous recommandons aux organisations de consulter un conseiller juridique pour obtenir la garantie qu’elles sont en conformité avec toutes les lois applicables en matière de protection de la vie privée et de données personnelles.
Toby Laflamme, Gestionnaire de projets web
Bio
Depuis plus de 13 ans, Toby Laflamme joue un rôle déterminant chez ViGlob en supervisant des projets diversifiés avec précision et efficacité. Sa créativité, sa rigueur et ses compétences techniques font de lui un gestionnaire orienté vers l’action et l’anticipation. Son sens de l’écoute et sa capacité à établir une relation de proximité lui permettent de comprendre les besoins uniques de chaque client. Alliant méthode et inventivité, Toby conçoit et livre des projets web adaptés aux priorités de ses clients, dans le respect des délais et des ressources disponibles.
Source : Toby Laflamme
1 octobre 2024